Dzisiejszy briefing opisał główny temat: pozew zbiorowy (Sprawa 3:26-cv-02803, N.D. California) oskarżający Perplexity AI o wbudowanie tracking scripts, które przesyłały zapytania użytkowników do Meta i Google — w tym zapytania wykonywane w trybie Incognito. Powód udostępniał zeznania podatkowe, szczegóły inwestycji, rodzinne plany finansowe. Wszystko to, prosto do ad-tech.
Środowisko privacy-aktywistów opisze to jako korporacyjną zdradę. Ja opisuję to jako zepsutą weryfikację.
Oto pytanie, którego nikt nie zadaje: kto zaudytował client-side JavaScript? Nie politykę prywatności — faktyczny kod działający w przeglądarce. Każda firma shippuje third-party scripts. Analytics, attribution, monitoring wydajności. I prawie nikt ich nie inwentaryzuje. Nikt nie robi diffów po aktualizacjach. Nikt nie sprawdza, jakie dane są exfiltrowane.
To nie jest przypadłość tylko Perplexity. To domyślny stan każdego produktu, który integruje third-party SDKs bez procesu script auditu. Tracking scripts wskazane w skardze to ta sama kategoria, która działa teraz w tysiącach produktów SaaS. Różnica jest taka, że ktoś w końcu sprawdził.
Tryb Incognito nigdy nie gwarantował prywatności. Ale użytkownicy słusznie zakładali, że "privacy-first search engine" nie wbuduje dokładnie tej infrastruktury inwigilacji, którą obiecywał zastąpić. W tej luce żyje pozew.
Naprawa jest nudna. Script inventory. Headery Content Security Policy, które whitelistują zatwierdzone domeny. Automatyczny diffing przy aktualizacjach third-party scripts. Kwartalne audyty. Checklist. To jest problem 📋, nie filozoficzny.
Jeśli mam rację, firmy, które wdrożą script auditing teraz, unikną kolejnego pozwu zbiorowego. Jeśli się mylę, Perplexity to jednorazowy bad actor i wszystkie inne "privacy-first" produkty są czyste. Nie postawiłbym na to swoich zeznań podatkowych.
Dziewięć miliardów dolarów wyceny, zbudowane na obietnicy. JavaScript opowiedział inną historię. Ile innych privacy-first produktów przeżyłoby ten sam audyt? ⚙️
